WordPress è un CMS molto popolare e utilizzato da molti siti web ed è per questo che diventa un bersaglio frequente per gli hacker. Elenchiamo alcune vulnerabilità comuni di WordPress:
- Plugin obsoleti: utilizzare plugin non supportati o non aggiornati può esporsi a vulnerabilità di sicurezza.
- Login debole: le credenziali deboli rendono facile per gli hacker accedere al sito.
- Codice difettoso: i plugin o il tema possono avere codice difettoso che rende il sito vulnerabile.
- SQL Injection: gli attacchi SQL Injection possono compromettere la sicurezza dei dati sul sito.
È perciò importante mantenere il sito WordPress aggiornato, utilizzare credenziali forti e verificare regolarmente la sicurezza del sito per prevenire tutte queste vulnerabilità.
In che modo possiamo sapere se il nostro sito è protetto o ha delle vulnerabilità?
Ed ecco che ci viene incontro WPScan.
Cosa è WPScan?
WPScan è uno strumento di sicurezza open source che viene appunto utilizzato per scansionare e trovare vulnerabilità in siti WordPress. Può essere eseguito da riga di comando e fornisce un rapporto su eventuali problemi di sicurezza, tra cui plugin obsoleti, problemi di autenticazione e configurazioni inadeguate.
WPScan offre anche la possibilità di eseguire attacchi di prova, come ad esempio attacchi di forza bruta, per verificare la robustezza delle misure di sicurezza.
Di seguito il link per il download:
https://github.com/wpscanteam/wpscan
Una volta scaricato e installato, vediamo insieme il suo funzionamento.
- Apriamo il terminale e rechiamoci nella directory in cui WPScan è installato.
- Eseguiamo il comando “wpscan –url [nome_sito_wordpress]” per eseguire la scansione del sito.
WPScan eseguirà la scansione e fornirà un rapporto dettagliato su eventuali vulnerabilità trovate, tra cui le versioni di WordPress, plugin e temi installati, problemi di autenticazione, di configurazione e molto altro ancora.
Questo è l’utilizzo principale di WPScan; tuttavia ci sono molte altre funzioni che potete consultare con i comandi:
– wpscan –help
– wpscan –usage
Non siamo responsabili per l’uso che farete di questo programma e ricordiamo a tutti i nostri lettori che entrare in un sistema informatico non nostro è punito dall’art. 615ter del codice penale:
“Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.”
Al prossimo articolo, buona navigazione!
